适用于 Amazon Server Migration Service 的 Identity and Access Management - Amazon Server Migration Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon Server Migration Service 的 Identity and Access Management

Amazon Identity and Access Management(IAM) 是一个Amazon服务,以帮助管理员安全地控制对Amazon资源的费用。IAM 管理员控制谁可以通过身份验证(登录)和授权(具有权限)使用Amazon资源的费用。IAM 允许您在您的Amazonaccount. 您可以控制用户使用Amazon资源的费用。您可以使用 IAM,避免额外的费用。

默认情况下,IAM 用户无权管理Amazon Server Migration Service(Amazon SMS) 资源和操作。允许 IAM 用户管理Amazon SMS资源,您必须创建一个 IAM 策略以明确向他们授予权限,并将该策略附加到需要这些权限的 IAM 用户或组。

在将策略附加到一个用户或一组用户时,它会授权或拒绝用户使用指定资源执行指定任务。有关更多信息,请参阅 。策略和权限中的IAM 用户指南指南。

策略结构

IAM 策略是包含一个或多个语句的 JSON 文档。每个语句的结构如下。

{ "Statement": [ { "Effect": "effect", "Action": "action", "Resource": "arn", "Condition": { "condition": { "key":"value" } } } ] }

组成语句的各个元素如下:

  • Effect: Effect 可以是Allow或者Deny。在默认情况下,IAM 用户没有使用资源和 API 操作的许可,因此,所有请求均会被拒绝。显式允许将覆盖默认规则。显式拒绝将覆盖任何允许。

  • 操作:该操作是特定的Amazon SMS您要授予或拒绝权限的 API 操作。

  • 资源:受操作影响的资源。对于 Amazon SMS,您必须指定“*”作为资源。

  • Condition:条件是可选的。它们可以用于控制策略生效的时间。

示例策略

在 IAM 策略语句中,您可以从支持 IAM 的任何服务中指定任何 API 操作。对于 Amazon SMS,请使用以下前缀为 API 操作命名:sms:,如下所示。

"Action": "sms:UpdateReplicationJob"

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示。

{ "Statement":[ { "Effect": "Allow", "Action": ["sms:action1", "sms:action2"], "Resource": "*" } ] }

您也可以使用通配符指定多项操作。例如,您可以指定名称以单词“Get”开头的所有 Amazon SMS API 操作,如下所示:

{ "Statement":[ { "Effect": "Allow", "Action": "sms:Get*", "Resource": "*" } ] }

要指定所有 Amazon SMS API 操作,请使用 * 通配符,如下所示:

{ "Statement":[ { "Effect": "Allow", "Action": "sms:*", "Resource": "*" } ] }

要防止用户在复制后启用自动启动,请使用以下语句。这是不够的,省略sms:LaunchApp从允许的操作列表中,因为通过自动启动,用户不会调用LaunchApp直接。

{ "Statement":[ { "Effect": "Deny", "Action": "sms:LaunchApp", "Resource": "*" } ] }

预定义的Amazon托管策略

Amazon 创建的托管策略将授予针对常用案例的必要权限。您可以根据您的 IAM 用户对Amazon他们所需要的。

授予 IAM 用户完全访问权限Amazon SMS功能,请附加以下策略:服务 ServerMigrationServiceConsoleFullAccess